A kormány honlapján megjelent rendelettervezetek indoklása kiemeli, "hogy a kormányzati IT rendszerek üzemeltetői esetenként elégtelenül, vagy csak részlegesen rendelkeznek eszközrendszerrel (és kellő kompetenciával) az Internetről irányuló támadások észleléséhez, azonosításához és elemzéséhez. A biztonsági események - akár az észlelés hiánya, akár a bejelentés elmaradása miatt - nem, vagy késedelmesen válnak ismertté a Nemzetbiztonsági Szakszolgálat (NBSZ) számára. Emiatt az NBSZ nem képes támogatni az incidensek kivizsgálását és elhárítását, valamint figyelmeztetni az esetleges további érintetteket. A kockázatok csökkentése érdekében szükséges egy korai figyelmeztető rendszer (EWS), amelynek kiépítése folyamatban van."
A tervezet szerint a kiberbiztonságra - hatóságként - a Nemzetbiztonsági Szakszolgálat ügyel, de a hatósági jogköröket az NBSZ szervezetében működő Nemzeti Kibervédelmi Intézet gyakorolja. Az utóbbi egyik fontos feladata az úgynevezett bejelentésköteles szolgáltatók felügyelete. Ebbe a körbe nem tartoznak bele az állami és önkormányzati szolgáltatók, viszont bejelentésre kötelezettek - egyebek mellett - az online kereskedők és a felhőalapú számítástechnikai szolgáltatást nyújtók. Nekik azonnal jelenteniük kell a kibervédelmi intézet felé, ha támadás éri őket. Az intézet a mulasztókat - illetve az egyéb szabálysértőket - 50 ezer forinttól 5 millió forintig terjedő bírsággal sújthatja.
Az intézet mind az állami, mind pedig a magán IT rendszerek sérülékenységi vizsgálatát is elvégzi.